WordPress與GDPR合規性

您可能聽說過網路上正在討論的“GDPR”一詞。這仍然是一個非常熱門的話題，尤其是在新聞中發生的所有資料洩露和安全問題。簡而言之，GDPR是一項旨在讓公民重新控制其個人資料的隱私法。毫無疑問，GDPR正在影響整個網際網路處理資料的方式。可怕的是截止日期是去年（2018年5月25日），許多關於GDPR的問題仍然困擾著人們：

1. GDPR到底是什麼？通俗地說。
2. GDPR會影響我嗎？
3. 為了遵守GDPR，我需要做什麼？

許多人傾向於推遲他們不理解的事情。稅收就是一個很好的例子。對於我們很多人來說，GDPR在我們的清單上只是一個較低的優先順序。但是GDPR的最後期限已經過去了，您真的應該花一些時間來確定您是否需要更改您的業務和/或網站的運營方式。如果你不這樣做，可能會涉及鉅額罰款。

不用擔心，我們將嘗試在下面解釋您需要了解的有關GDPR的所有資訊，以及您可以做些什麼準備。但我們不是律師，所以我們會盡量不讓您厭煩所有的法律細節。

請注意，這篇文章僅供參考，不應被視為法律建議。

1. 通俗地說什麼是GDPR？
2. GDPR影響誰？
3. 不遵守GDPR的後果
4. 如何使您的WordPress網站符合GDPR
5. 處理的合法性
6. 有用的GDPR WordPress外掛
7. GDPR審查

通俗地說，什麼是GDPR？

GDPR代表通用資料保護條例。這是歐盟委員會於2016年4月14日批准的隱私法，旨在保護所有歐盟公民（28個成員國）及其個人資料的權利。這取代了1995年10月24日的95/46/EC資料保護指令，並且比2011年的Cookie法更廣泛（很快將被與GDPR並駕齊驅的新歐盟電子隱私法規取代）。該法規的推出計劃定為兩年，截止日期為2018年5月25日。

歐盟通用資料保護條例 (GDPR) 是20年來資料隱私法規中最重要的變化…… 歐盟GDPR

如果您想閱讀法規的大量官方PDF（11章，99篇文章），我們建議您檢視gdpr-info.eu，因為它們的所有內容都在一個排列整齊的網站中。

有幾個關鍵術語可以處理：

• 控制者確定處理個人資料的目的和方式。
• 處理者負責代表控制者處理個人資料。
• 個人資料是可用於識別個人身份的任何資訊，甚至可以通過將該資訊與其他資訊相結合來間接識別個人身份。

什麼是處理？

如果以任何方式訪問、儲存或使用個人資料，則視為處理。GDPR對處理的完整定義包括對個人資料採取的所有以下構成資料處理的行動：收集、記錄、組織、結構化、儲存、改編、更改、檢索、諮詢、使用、傳輸、披露、傳播、組合、對齊、限制、擦除或破壞。

GDPR的基本原則

GDPR下適用於控制者的七項基本原則：

1. 資料已得到合法、公平和透明的處理。 要求給予同意。
2. 必須出於特定、明確和合法的目的收集個人資料，並且只能用於該目的。
3. 個人資料必須充分、相關，並將收集限制在必要的範圍內。
4. 個人資料必須準確並保持最新。
5. 個人資料只能以可識別的形式儲存儘可能短的時間。
6. 個人資料的處理方式應確保資料的安全。
7. 控制者有責任證明遵守這些原則。

GDPR下的個人權利

受GDPR保護的個人（歐盟公民）在GDPR下擁有處理者必須準備維護的七項權利：

1. 知情權： 賦予一個人知道正在儲存哪些關於他們的資訊的權利。
2. 訪問權和可移植性： 一個人可以隨時以易於下載的格式請求他們的資訊，以及使用或將資料傳輸到其他服務。（第20條）
3. 整改權。
4. 被遺忘的權利：允許一個人要求完全刪除他們的個人資訊（除非有正當理由，例如銀行貸款）。（第17條）。
5. 限制處理的權利。
6. 反對的權利。
7. 在進行自動決策和分析時獲得公平待遇的權利。

其他GDPR說明

不幸的是，當涉及到這樣的事情時，並不是所有的事情都是黑白的，所以這裡有一些額外的事情需要記住：

• 適用於任何個人資料（PII – 與某人相關或可用於識別某人的任何資料）。

個人資料是指與已識別或可識別的自然人（資料主體）有關的任何資訊；可識別的自然人是可以直接或間接識別的人，特別是通過參考諸如姓名、社會保險號、位置資料、線上識別符號（IP地址或電子郵件地址）或一個或多個因素等識別符號特定於該自然人的身體、生理、遺傳、心理、經濟、文化或社會身份；它還控制個人資訊可以做什麼（第4 條）。

• 適用於任何敏感的個人資料 ，例如種族、民族、性取向和健康狀況。（Recital 51， 第9條）
• 設計和預設隱私：確保個人資訊得到適當保護。新系統必須設計有保護措施，並且對資料的訪問受到嚴格控制，並且僅在需要時才提供（第25條）。
• 如果資料丟失、被盜或未經許可被訪問，則必須在72小時內通知當局（第33條）以及資料被訪問者（第34條）。
• 資料只能用於收集時給出的原因，並在不再需要後安全刪除。
• 允許國家當局對違反規定的公司處以罰款。
• 為線上服務處理16歲以下兒童的個人資料需要家長同意；可能因成員國而異，但不得低於13歲（第8條）。

GDPR影響誰？

雖然新的GDPR法規旨在保護歐盟公民的權利，但它從本質上影響了網路上的每個人。沒錯，大家！這 與企業在哪裡建立或線上活動發生在哪裡無關。如果您的網站正在處理或收集來自歐盟公民的資料，那麼您必須遵守GDPR規定。

GDPR影響每個人

以下是一些受影響的位於歐盟以外的網站示例：

• 一個WordPress社羣站點，用於收集每個使用者配置檔案的個人資訊。
• 一個WordPress主題商店，讓客戶註冊帳戶以購買主題或外掛（銷售和計費資料）。
• 具有時事通訊訂閱小部件或允許訪問者發表評論的WordPress部落格。
• 線上銷售產品的電子商務（WooCommerce或Easy Digital Downloads）商店。
• 一個使用分析軟體的WordPress網站。

您可能會看到我們的目標。除非您明確阻止所有歐盟流量（大多數人可能沒有），否則您的網站屬於GDPR法規。

如果您想知道您的公司是否已經符合GDPR，Mailjet的團隊建立了一個方便的GDPR檢測。我們還建議檢視GDPR清單。

不遵守GDPR的後果

根據data.verifiedjoseph的資料，截至2019年3月20日，GDPR生效後，歐盟仍有1,129個網站無法訪問。其中許多包括大型新聞機構。

為什麼？因為他們無法遵守GDPR的技術實施，因此不想面臨罰款。因此，他們只是完全阻止了來自歐盟的流量。

如果您的企業不遵守GDPR，您可能會受到高達全球年度營業額4%的處罰或最高2000萬歐元的罰款（兩者中的較高者），每次違規。還有一種分層的罰款方法。例如，一家公司可能會因未按順序整理記錄、未將違規行為通知監管機構和資料主體或未進行影響評估而被處以2%的罰款。（第83條）

2019年1月，法國資料隱私監管機構根據GDPR對谷歌處以5700萬美元的罰款。截至2019年2月，已報告超過59,000起資料洩露事件和91起罰款。

GDPR實施1年後的瘋狂統計資料：* 約6000萬美元的罰款* 美國公司的合規成本估計為150美元（罰款金額的2500 倍！）* 小公司的損失遠大於大公司。GOOG居然有好處！* 投資於歐盟初創企業的VC美元大幅下降

監管成功！

— Leo Polovets (@lpolovets) 2019年5月25日

檢視隱私事務中的GDPR罰款跟蹤器以獲取最新統計資料。不用說，如果您是小型電子商務商店或WordPress開發人員，這些罰款可能是毀滅性的！

如何使您的WordPress網站符合GDPR

現在，您可能都在閱讀這篇博文，這就是如何使您的WordPress網站符合GDPR的原因。不幸的是，與我們的普通教學不同，我們無法為您提供簡單的分步教學，因為每個站點的合規性各不相同。但這裡有一些建議可以讓您走上正確的道路，以及需要注意的其他事項。

1.聘請律師

如果您對GDPR合規性有任何疑慮（大多數人可能會這樣做），我們始終建議您聘請律師，即使只是暫時的。這是我們強烈敦促您不要嘗試自行解決的領域之一。律師可以為您提供專門針對您的情況的法律建議。如果你弄錯了，可能會導致鉅額罰款。

2. 檢查您的資料收集和處理工作流程

我們建議您瀏覽整個WordPress網站，確定資料收集和處理的位置、資訊的儲存位置以及儲存時間。這包括以下內容：

• 在電子商務結帳頁面或WordPress註冊頁面上收集個人資訊。
• IP地址、cookie識別符號和GPS位置。
• Google Analytics、Hotjar等各種服務。

在確定所有這些之後，您需要確認您正在請求訪問者的許可，並披露收集的資料是如何使用的。

3. GDPR專案已併入WordPress Core for Developers

Dejlig Lama和Peter Suhm最初開始致力於一個名為GDPR for WordPress的專案。這將為外掛開發人員提供一個簡單的解決方案來驗證他們的外掛，併為網站管理員提供概述和工具來處理與GDPR相容所涉及的管理任務。然而，好訊息是它現在已經成為WordPress核心的一部分。

要檢視已完成的工作，您可以檢視GDPR Trac Tickets以及GDPR合規性路線圖。這對WordPress使用者和對開發人員一樣重要，因為GDPR合規性是一條雙向的道路。WordPress使用者需要在他們已經使用的外掛中內建新功能，例如覈取方塊、提示等，以確保它們在收集資料時合規。

4. 更新所有法律檔案

現在是使用GDPR更新您的條款和條件頁面、隱私頁面、附屬條款以及您可能擁有的任何其他法律檔案或協議的時候了。您不能再擁有沒有覈取方塊的表單，除非它們都在合法處理之下。換句話說，必須有一種方式讓使用者明確同意。僅僅在底部的連結中新增術語並假設使用者會閱讀它們的日子已經一去不復返了。

同意條件已得到加強，公司將不再能夠使用充滿法律術語的冗長難以辨認的條款和條件，因為同意請求必須以易於理解且易於訪問的形式給出，並且資料處理的目的附於同意。同意必須清晰明瞭，與其他事項有區別，並使用清晰明瞭的語言以易於理解和易於理解的形式提供。撤回同意必須像給予同意一樣容易。（來源：歐盟GDPR）

同樣，這是我們建議聘請律師的領域。如果您只是執行一個簡單的部落格，至少使用iubenda之類的工具 或類似的工具來生成更強大的隱私政策。

WordPress 4.9.6中新增了新的隱私頁面功能。您現在可以在您的網站上指定一個隱私頁面，它將顯示在您的登入和註冊頁面上。我們還建議將其放在頁尾中。

WordPress隱私頁面

這是現在由WordPress生成的預設隱私政策頁面的示例。這應該用作模板和/或起點，它不會包含您網站所需的一切。

WordPress中的隱私政策頁面示例

5. 提供資料可移植性

根據Art. 20，任何收集資料的企業還必須為使用者提供下載資料並將資料帶到/轉移到其他地方的能力。

資料主體有權以結構化、常用和機器可讀的格式接收他或她提供給控制者的與他或她有關的個人資料，並有權將這些資料傳輸給另一個控制者，而無需向其提供個人資料的控制者的阻礙。

確保您有一個適當的系統，如果使用者請求（.csv、.xml 等），則可以為使用者提供可下載的資料檔案。如果您目前無法提供此服務，您可能需要聘請WordPress開發人員。

WordPress 4.9.6中新增了有關資料處理的新功能。網站所有者現在可以匯出包含使用者個人資料的ZIP檔案，也可以刪除使用者的個人資料。他們還可以使用一種新的基於電子郵件的方法來確認個人資料請求。

WordPress匯出個人資料

6. 隱私保護框架下的自我認證

由於許多網站從全球收集資料並且對個人資料的限制更加嚴格，許多公司現在都在歐盟-美國和瑞士-美國隱私保護框架下進行認證。這些是由美國商務部、歐盟委員會和瑞士政府設計的，旨在為大西洋兩岸的公司提供一種機制，以在將個人資料從歐盟和瑞士傳輸到美國時遵守資料保護要求支援跨大西洋貿易。

閱讀更多關於隱私盾下自我認證的好處。

7. 加密您的資料/HTTPS

在加密方面，有不同的部分：網路流量加密(HTTPS) 和資料儲存位置加密。無論GDPR如何，我們始終建議您加密您的網路流量。遷移到HTTPS的好處遠大於弊，這就是網路的發展方向。

術語加密本身實際上在GDPR中只提到過幾次，並不一定是強制性的。

為了維護安全並防止處理違反本法規，控制者或處理者應評估處理過程中固有的風險，並採取措施降低這些風險，例如加密（Recital 83）。

因此，雖然看起來加密在法律上不是遵守GDPR的要求，但強烈建議您這樣做，因為您對資料負責。閱讀有關GDPR加密的更多資訊。

8. 檢查您的WordPress主題、外掛、服務、API

您安裝的任何收集或儲存個人資料的WordPress外掛或主題特定功能都必須更新，您的網站才能完全符合GDPR投訴。如果您是WordPress開發人員，希望您已經為使用者進行了GDPR更改。我們將在下面包含一些流行的外掛和配置，以及它們如何處理GDPR的直接連結。

聯絡表格外掛

遵守GDPR的最簡單方法之一是在您的聯絡表單中新增一個必需的覈取方塊，允許使用者同意收集和儲存他們提交的資料。然而，這裡重要的部分是“最簡單的”。並非所有聯絡表格都必須獲得同意。這可能屬於所謂的處理合法性。

• Gravity Forms GDPR
• NinjaForms GDPR
• Contact Form 7 GDPR（最佳免費解決方案：  WP GDPR合規外掛。最佳高階解決方案：Contact Form DB 7外掛。）

Contact Form 7 GDPR

檢視其他WordPress聯絡表單外掛。

評論外掛

甚至評論外掛也在收集個人資訊。因此，就像聯絡表格一樣，確保您合規的最簡單方法之一是新增同意覈取方塊。但同樣，這可能屬於所謂的處理合法性。

• WordPress原生評論
• Disqus GDPR  （目前正在努力實現合規性）
• Jetpack GDPR

最近在最新的WordPress 4.9.6隱私和維護版本中新增了一個同意覈取方塊（如下所示）。

WordPress原生評論GDPR

營銷外掛和服務

從郵件訂閱外掛、調查外掛、測驗外掛、推送通知外掛到您的電子郵件營銷軟體，一切都會受到GDPR的影響。

• MailChimp GDPR
• MailerLite GDPR
• ActiveCampaign GDPR
• AWeber GDPR（檢視他們關於如何為訂閱者保留GDPR同意記錄的文章）

分析、跟蹤、再營銷

任何收集資料的第三方服務或外掛。這包括諸如谷歌分析、A/B測試外掛、熱圖服務、再營銷平臺等。關於谷歌分析本身，可能建議匿名IP。

在Google Analytics中匿名 IP

截至4月，Google為Google Analytics推出了新的資料保留設定。這些控制元件使您能夠設定從Google Analytics的伺服器中自動刪除Google Analytics儲存的使用者級和事件級資料之前的時間量。您可以在Admin → Property →  Tracking Info → Data Retention下訪問這些設定。

谷歌分析資料保留

如果您只使用Google Analytics報告而不顯示廣告，是否需要cookie提示？這取決於。檢視Jeff的這篇關於Google Analytics的GDPR合規性的精彩文章——您需要Cookie同意嗎？

• Google Analytics GDPR
• AdRoll GDPR
• Hotjar GDPR

電子商務解決方案和支付處理器

任何型別的WordPress電子商務解決方案當然都會受到GDPR的嚴重影響，因為它們會收集銷售資料、個人資訊、使用者帳戶資料，並與第三方支付處理器整合。

• WooCommerce
• Easy Digital Downloads

除了上述文件之外，我們還強烈建議您檢視這篇很棒的部落格文章，瞭解12種使您的WooCommerce網站符合GDPR的方法。

• Stripe
• PayPal

社羣外掛

除了整合的WordPress註冊流程之外，社羣外掛、論壇外掛和會員外掛通常會儲存其他個人資訊。

• LearnDash GDPR
• bbPress GDPR
• BuddyPress GDPR

第三方API

甚至第三方API也會收集資料。一個很好的例子是谷歌字型。你們中的大多數人可能都在使用Google字型，無論是嵌入到WordPress主題中還是手動新增它。您確實必須檢視每個API並找出提供者正在收集的資料。在某些情況下，允許在未經同意的情況下出於合法偏見收集資料（ Recital 49）。

這可能是一項繁重的工作，而且非常令人困惑，因為一些公司，甚至是谷歌，可能無法提供簡單的“是”或“否”答案。檢視開發人員之間關於Google字型是否符合GDPR的對話。您始終可以在自己的CDN上本地託管您的Google字型，這樣就可以解決問題。

由於一些WordPress外掛開發人員目前正在努力新增GDPR合規性功能，因此我們將持續更新這篇文章。或者更可怕的是，許多甚至還沒有開始。如果您對正在執行的外掛有疑慮，請直接與開發人員聯絡，瞭解他們計劃如何處理GDPR。

處理的合法性

雖然如上所示簡單地徵求同意是遵守GDPR的最簡單方法，但這並不是唯一的方法。事實上，在某些情況下，由於被稱為處理的合法性，未經同意就允許進行資料處理。這裡只是幾個例子：

合同必要性

如果有必要履行資料主體作為一方的合同，或者為了在簽訂合同之前應資料主體的要求採取措施，則允許資料處理（第6 (1) b條）

合法權益

出於控制者或第三方追求的合法利益的目的，允許資料處理，除非此類利益被需要保護個人資料的資料主體的利益或基本權利和自由所凌駕，在特別是在資料主體是兒童的情況下。（第 6 (1) f 條）

注意：這不適用於公共當局在執行任務時進行的處理。

如需更多示例，我們建議檢視White & Case LLP關於處理的合法依據的文章。

有用的GDPR WordPress外掛

以下是一些有用的外掛，我們還建議您檢視它們可以提供幫助：

• WP Security Audit Log：真正瞭解您的 WordPress 網站情況的最佳方法之一。出於安全原因，我們通常建議這樣做，但它可能是檢視正在收集資料的內容的絕佳方式，例如使用者註冊、評論、聯絡表單條目等。
• WP GDPR Compliance：此外掛通過提供常見提示來幫助網站和網店所有者與一些流行的外掛（如Gravity Forms, Contact Form 7, WooCommerce和 WordPress原生評論）整合。 WP GDPR合規性
• GDPR：另一個幫助您合規的外掛。具有服務條款和隱私政策註冊同意管理、通過確認電子郵件刪除和刪除資料的權利、資料處理器設定和釋出聯絡資訊、從管理儀表板和匯出訪問資料的權利、cookie偏好管理等等。
• GDPR Cookie Compliance：允許使用者同意特定的cookie目的，並能夠在粒度級別啟用和禁用cookie。
• iubenda Cookie Solution for GDPR：此外掛是一種一體化方法，通過生成隱私政策文字、cookie橫幅和cookie的阻止管理來幫助您的網站符合 GDPR。
• Complianz GDPR：這個外掛幾乎可以滿足GDPR合規性所需的一切！它會自動檢測您是否需要cookie警告、與Google Analytics整合（您可能不需要警告）、掃描您的站點以查詢cookie、能夠阻止cookie、生成cookie策略等等。
• GDPR Cookie Consent：此外掛有助於在您的WordPress網站上顯示cookie同意通知。只有在使用者明確同意的情況下，它才允許將cookie安裝在使用者的瀏覽器上。使用者也可以隨時撤銷他們的同意。此外，該外掛還根據您網站的主題為同意欄的樣式提供了多種自定義選項。

GDPR審查

超越困惑？別擔心，GDPR可能會給您帶來很多麻煩，而且它在個人資料收集方面是一個巨大的變化。如果您擔心自己的WordPress網站，明智的做法是投資由專家進行GDPR審查，最好是僅與WordPress一起工作的專家。我們建議檢視GreyCastle Security的GDPR審查。

小結

正如您現在可能已經掌握的那樣，GDPR非常重要！它影響了網路上幾乎所有的WordPress網站。截止日期已經過去了，因此我們鼓勵每個人花時間進行研究，並確保您的網站完全合規。如果你不這樣做，你可能會面臨一些相當高額的罰款（在面向歐盟的外貿網站尤其要注意這方面的合規性）！